一種apt威脅預(yù)測(cè)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種去重方法���,包括:采集海量異構(gòu)安全數(shù)據(jù)��,并對(duì)所述海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析��;根據(jù)所述關(guān)聯(lián)分析結(jié)果��,建立APT安全威脅態(tài)勢(shì)感知的體系框架�;基于多層次�����、多角度的態(tài)勢(shì)評(píng)估�����,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估���;建立APT安全威脅發(fā)展模型,對(duì)APT安全威脅進(jìn)行預(yù)測(cè)���;根據(jù)所述預(yù)測(cè)��,如果確定潛在威脅���,則進(jìn)行預(yù)警�。本發(fā)明通過建立APT攻擊威脅發(fā)展模型��,為安全保障工作的進(jìn)行提供數(shù)據(jù)和理論支持�,有效地防止了APT攻擊,保證了數(shù)據(jù)的安全性��。
【專利說明】一種APT威脅預(yù)測(cè)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)����,尤其涉及一種APT威脅預(yù)測(cè)方法及系統(tǒng)。
【背景技術(shù)】
[0002]APTCAdvanced Persistent Threat)--------高級(jí)持續(xù)性威脅����。是指組織(特別
是政府)或者小團(tuán)體利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)�����,其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集���,在此收集的過程中�����,此攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞��,在這些漏洞的基礎(chǔ)上形成攻擊者所需的C&C網(wǎng)絡(luò)��,此種行為沒有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)�,因此更接近于融入被攻擊者的系統(tǒng)或程序。APT與一般攻擊的區(qū)別在兩方面:(I)高級(jí)性:使用的工具或惡意程序一般都是專門開發(fā)的�����,很難檢測(cè)到��;另外攻擊中會(huì)用到一個(gè)或多個(gè)Oday漏洞���。
[2]持續(xù)性:一般會(huì)花比較長(zhǎng)時(shí)間�,觀察�、踩點(diǎn)、收集信息�����、社會(huì)工程���、逐步滲透���、信息回傳等
等ο
[0003]目前,對(duì)APT危機(jī)所采取的措施主要是用戶主動(dòng)防御����。即第一,提高企業(yè)用戶的信息安全意識(shí)�����,防患于未然��;第二���,安裝網(wǎng)絡(luò)安全預(yù)警系統(tǒng)���。然而,網(wǎng)絡(luò)安全預(yù)警系統(tǒng)是一種基于硬件的網(wǎng)絡(luò)安全技術(shù)�,能夠針對(duì)局域網(wǎng)內(nèi)的安全事件自動(dòng)進(jìn)行歸納總結(jié),并根據(jù)這些數(shù)據(jù)對(duì)全網(wǎng)安全進(jìn)行預(yù)警�����。但是,對(duì)于從海量數(shù)據(jù)中分析中所潛伏的威脅���,上述防御措施存在漏洞��,并且很難對(duì)所有海量數(shù)據(jù)進(jìn)行分析���,因此可能會(huì)錯(cuò)過潛伏的APT攻擊。
【發(fā)明內(nèi)容】
[0004]為了解決上述技術(shù)問題��,本發(fā)明提供了一種APT威脅預(yù)測(cè)方法及系統(tǒng)��,通過運(yùn)用網(wǎng)絡(luò)安全態(tài)勢(shì)理解技術(shù)�,建立APT攻擊威脅發(fā)展模型,為安全保障工作的進(jìn)行提供數(shù)據(jù)和理論支持����,建立APT攻擊威脅發(fā)展模型,為安全保障工作的進(jìn)行提供數(shù)據(jù)和理論支持��。
[0005]為了達(dá)到本發(fā)明目的��,本發(fā)明提供一種APT安全威脅預(yù)測(cè)方法���,包括:
[0006]采集海量異構(gòu)安全數(shù)據(jù)��,并對(duì)所述海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析�;
[0007]根據(jù)所述關(guān)聯(lián)分析結(jié)果���,建立APT安全威脅態(tài)勢(shì)感知的體系框架��;
[0008]基于多層次����、多角度的態(tài)勢(shì)評(píng)估����,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估���;
[0009]建立APT安全威脅發(fā)展模型���,對(duì)APT安全威脅進(jìn)行預(yù)測(cè);
[0010]根據(jù)所述預(yù)測(cè)����,如果確定潛在威脅,則進(jìn)行預(yù)警�。
[0011]該方法還包括:對(duì)所述APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括:將海量異構(gòu)安全數(shù)據(jù)歸類為資產(chǎn)數(shù)據(jù)、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)���;去除上述數(shù)據(jù)的重復(fù)冗余信息�;將資產(chǎn)數(shù)據(jù)�����、威脅數(shù)據(jù)���、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)相關(guān)聯(lián)���,綜合分析得到每個(gè)威脅的威脅傳播網(wǎng)絡(luò)。
[0012]優(yōu)選地�����,建立APT安全威脅態(tài)勢(shì)感知的體系框架時(shí)��,對(duì)所述關(guān)聯(lián)分析結(jié)果�,用如下加密/解密算法進(jìn)行加密/解密:
[0013]A=B'e2 mod n ;B=A'el mod n
[0014]其中A為明文�,B為密文,η為二進(jìn)制表示密鑰長(zhǎng)度���,el和e2是一對(duì)相關(guān)的值���,el可以任意取��,但要求el與(p-1) *(q_l)互質(zhì);再選擇e2,要求(e2*el) mod((p_l) *(q_l))=1 ;P�、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù)。
[0015]優(yōu)選地��,其中對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括:采用粒子群PSO算法進(jìn)行評(píng)估���。
[0016]優(yōu)選地���,其中所述PSO算法在迭代時(shí),依次循環(huán)使用如下非線性函數(shù)作為權(quán)重函數(shù):
[0017]F (X����,Y, Z) = (X&Y)((?X) &Z);
[0018]G(X���,Y�,Z) = (X&Z) I (Y& (?Z));
[0019]H(X, Y, Z)=X~Y~Z ����;
[0020]Ι(Χ���,Υ,Ζ)=Υ~(Χ| (?Z));
[0021]其中�,X、Y����、Z是態(tài)勢(shì)感知中的加密數(shù)據(jù)對(duì)三元組,分別表示信息安全的CIA三要素:保密性��、完整性��、可用性��。
[0022]優(yōu)選地����,其中所述PSO算法當(dāng)發(fā)現(xiàn)異常行為時(shí),跳出所述非線性函數(shù)�,執(zhí)行下列關(guān)聯(lián)函數(shù):
[0023]FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
[0024]GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
[0025]HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)
[0026]II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s)
[0027]其中a、b�����、c、d分別是所述PSO算法數(shù)據(jù)篩選和重組后得到的加速量����、個(gè)體知識(shí)、鄰居知識(shí)�����、社會(huì)知識(shí);Mj表示態(tài)勢(shì)感知數(shù)據(jù)的第j個(gè)子分組���,常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分,i取值從I到64�����,單位是弧度�����。
[0028]并且s表示函數(shù)操作過程中的位移量����,為系統(tǒng)的固定輸入,根據(jù)實(shí)際情況調(diào)整��。FF (a, b, c, d, Mj, s, ti )> GG (a, b, c, d, Mj, s, ti )> HH (a, b, c, d, Mj, s, ti )>II (a, b, c, d, Mj, s, ti)函數(shù)表示a的不同計(jì)算過程,并返回a的值����。優(yōu)選地,所述對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行預(yù)測(cè)至少包括:采用人工神經(jīng)網(wǎng)絡(luò)�����、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)����。
[0029]一種APT安全威脅預(yù)測(cè)系統(tǒng),包括:
[0030]采集設(shè)備���,用于對(duì)海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析��;
[0031]APT安全威脅態(tài)勢(shì)感知設(shè)備��,用于根據(jù)所述關(guān)聯(lián)分析結(jié)果�,建立APT安全威脅態(tài)勢(shì)感知的體系框架�����;
[0032]APT安全威脅態(tài)勢(shì)評(píng)估設(shè)備,用于根據(jù)多層次���、多角度的態(tài)勢(shì)評(píng)估�����,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架���,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估;
[0033]APT安全威脅態(tài)勢(shì)預(yù)測(cè)設(shè)備��,用于建立APT安全威脅發(fā)展模型���,對(duì)APT安全威脅進(jìn)行預(yù)測(cè);
[0034]APT安全威脅態(tài)勢(shì)預(yù)警設(shè)備�,用于根據(jù)所述預(yù)測(cè),發(fā)出預(yù)警�����。
[0035]所述APT安全威脅態(tài)勢(shì)評(píng)估設(shè)備具體用于:將海量異構(gòu)安全數(shù)據(jù)歸類為資產(chǎn)數(shù)據(jù)��、威脅數(shù)據(jù)�����、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù);去除上述數(shù)據(jù)的重復(fù)冗余信息����;將資產(chǎn)數(shù)據(jù)、威脅數(shù)據(jù)��、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)相關(guān)聯(lián)��,綜合分析得到每個(gè)威脅的威脅傳播網(wǎng)絡(luò)���。
[0036]APT安全威脅態(tài)勢(shì)感知設(shè)備具體用于:對(duì)所述關(guān)聯(lián)分析結(jié)果����,用如下加密/解密算法進(jìn)行加密/解密:
[0037]A=B'e2 mod n ��;B=A'el mod n
[0038]其中A為明文�,B為密文,η為二進(jìn)制表示密鑰長(zhǎng)度�����,el和e2是一對(duì)相關(guān)的值����,el可以任意取��,但要求el與(p-1) *(q_l)互質(zhì)�����;再選擇e2,要求(e2*el) mod((p_l) *(q_l))=1 ;P���、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù)。
[0039]優(yōu)選地�����,對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括:采用粒子群PSO算法進(jìn)行評(píng)估�����。
[0040]優(yōu)選地�����,所述PSO算法在迭代時(shí)��,依次循環(huán)使用如下非線性函數(shù)作為權(quán)重函數(shù):[0041 ] F (X���,Y, Z) = (X&Y)((?X) &Z)�;
[0042]G (X��,Y, Z) = (X&Z) I (Y& (?Z));
[0043]H(X, Y, Z)=X~Y~Z �;
[0044]Ι(Χ,Υ��,Ζ)=Υ~(Χ| (?Z));
[0045]其中�,X、Y�����、Z是態(tài)勢(shì)感知中的加密數(shù)據(jù)對(duì)三元組��,分別表示信息安全的CIA三要素:保密性��、完整性�����、可用性�����。
[0046]優(yōu)選地,所述PSO算法當(dāng)發(fā)現(xiàn)異常行為時(shí)�����,跳出所述非線性函數(shù)�����,執(zhí)行下列關(guān)聯(lián)函數(shù):
[0047]FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
[0048]GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
[0049]HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)
[0050]II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s)
[0051]其中a���、b�、c�、d分別是所述PSO算法數(shù)據(jù)篩選和重組后得到的加速量、個(gè)體知識(shí)����、鄰居知識(shí)、社會(huì)知識(shí);Mj表示態(tài)勢(shì)感知數(shù)據(jù)的第j個(gè)子分組��,常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分����,i取值從I到64��,單位是弧度。s表示函數(shù)操作過程中的位移量�,為系統(tǒng)的固定輸入,根據(jù)實(shí)際情況調(diào)整�。FF(a,b���,c�����,d��,Mj��,s�����,ti)����、GG(a, b, c, d, Mj, s, ti)���、HH(a, b, c, d, Mj, s, ti)���、II (a, b, c, d, Mj, s, ti)函數(shù)表示 a 的不同計(jì)算過程��,并返回a的值���。
[0052]優(yōu)選地,網(wǎng)絡(luò)安全威脅預(yù)測(cè)設(shè)備至少包括:采用人工神經(jīng)網(wǎng)絡(luò)��、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)��。
[0053]本發(fā)明通過采集海量異構(gòu)安全數(shù)據(jù)�,并對(duì)海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析;根據(jù)所述關(guān)聯(lián)分析結(jié)果��,建立APT安全威脅態(tài)勢(shì)感知的體系框架����;基于多層次、多角度的態(tài)勢(shì)評(píng)估�,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估����;建立APT安全威脅發(fā)展模型,對(duì)APT安全威脅進(jìn)行預(yù)測(cè)���;以及根據(jù)所述預(yù)測(cè)���,如果確定潛在威脅,則進(jìn)行預(yù)警���;來建立APT攻擊威脅發(fā)展模型���,為安全保障工作的進(jìn)行提供數(shù)據(jù)和理論支持,有效地防止了 APT攻擊�,保證了數(shù)據(jù)的安全性。
[0054]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述����,并且,部分地從說明書中變得顯而易見�,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在說明書�����、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得��?���!緦@綀D】
【附圖說明】
[0055]附圖用來提供對(duì)本發(fā)明技術(shù)方案的進(jìn)一步理解��,并且構(gòu)成說明書的一部分�,與本發(fā)明的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案��,并不構(gòu)成對(duì)本發(fā)明技術(shù)方案的限制����。
[0056]圖1為本發(fā)明APT威脅預(yù)測(cè)方法的流程圖;
[0057]圖2為本發(fā)明APT威脅預(yù)測(cè)系統(tǒng)的示意圖���。
【具體實(shí)施方式】
[0058]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白����,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明�����。需要說明的是����,在不沖突的情況下��,本發(fā)明中的實(shí)施例及實(shí)施例中的特征可以相互任意組合����。
[0059]在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行����。并且���,雖然在流程圖中示出了邏輯順序���,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟�。
[0060]圖1為本發(fā)明去重方法的流程圖,如圖1所示���,包括以下步驟:
[0061]步驟102:采集海量異構(gòu)安全數(shù)據(jù)���,并對(duì)所述海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析;
[0062]本步驟中��,可以通過網(wǎng)絡(luò)監(jiān)測(cè)、本地系統(tǒng)監(jiān)測(cè)等來獲取大量的session數(shù)據(jù)以及其它安全數(shù)據(jù)�����??梢詫?shù)據(jù)保存在數(shù)據(jù)庫中,并對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析�。
[0063]關(guān)聯(lián)分析是一種數(shù)據(jù)融合技術(shù),研究數(shù)據(jù)之間的相互關(guān)系���,用于對(duì)多源數(shù)據(jù)進(jìn)行聯(lián)合�、相關(guān)和組合��,用于獲取高質(zhì)量的信息���。本發(fā)明所采用的方法有分類分析����、聚類分析��、前后關(guān)聯(lián)和交叉關(guān)聯(lián)等����。即,采用關(guān)聯(lián)分析技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)的安全事件的融合與關(guān)聯(lián),實(shí)現(xiàn)安全事件的集中管理���,減少重復(fù)報(bào)警�����,降低漏報(bào)率和誤報(bào)率�,發(fā)現(xiàn)高層攻擊策略�����。例如�����,通過實(shí)驗(yàn)的方法對(duì)五個(gè)采用報(bào)警信息關(guān)系分析技術(shù)的入侵檢測(cè)系統(tǒng)(Intrusion DetectionSystems, IDS)進(jìn)行比較����,發(fā)現(xiàn)這些系統(tǒng)和單獨(dú)IDS相比��,整體檢測(cè)性能有很大的提高�,并且有的系統(tǒng)能對(duì)攻擊進(jìn)行多步關(guān)聯(lián),有的系統(tǒng)能夠?qū)?bào)警信息實(shí)時(shí)關(guān)聯(lián)����,有效減少了報(bào)警數(shù)量�����。
[0064]步驟104:根據(jù)所述關(guān)聯(lián)分析結(jié)果���,建立APT態(tài)勢(shì)感知的體系架構(gòu)。
[0065]本步驟中��,由于APT安全威脅態(tài)勢(shì)感知所依據(jù)數(shù)據(jù)來源的復(fù)雜性和異構(gòu)性�,為了保證態(tài)勢(shì)理解過程的實(shí)時(shí)性的要求,采用簡(jiǎn)單的數(shù)據(jù)級(jí)融合技術(shù)�����。對(duì)大量原始安全數(shù)據(jù)進(jìn)行初步處理���,得到規(guī)范化的資產(chǎn)數(shù)據(jù)集����、威脅數(shù)據(jù)集���、脆弱性數(shù)據(jù)集和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)集�����。在此基礎(chǔ)上���,分析資產(chǎn)�、威脅和脆弱性之間的關(guān)系�����,對(duì)影響網(wǎng)絡(luò)安全性的安全事件進(jìn)行分析��,采用上述關(guān)聯(lián)分析方法得到規(guī)范化的安全事件數(shù)據(jù)集��。此外��,為了分析威脅傳播帶來的影響�����,提出威脅傳播網(wǎng)絡(luò)的概念���,綜合分析資產(chǎn)、威脅����、脆弱性和網(wǎng)絡(luò)結(jié)構(gòu)信息���,得到威脅數(shù)據(jù)集中每個(gè)威脅的威脅傳播網(wǎng)絡(luò)。根據(jù)資產(chǎn)數(shù)據(jù)集���、威脅數(shù)據(jù)集��、脆弱性數(shù)據(jù)集和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)集等建立APT態(tài)勢(shì)感知的體系架構(gòu)�����。
[0066]另外����,APT安全威脅態(tài)勢(shì)感知在數(shù)據(jù)聚類模塊中要用到的加解密算法���。即對(duì)異構(gòu)安全數(shù)據(jù)進(jìn)行收集����、分析后���,對(duì)與APT安全威脅態(tài)勢(shì)感知有關(guān)的重要數(shù)據(jù)進(jìn)行加密�����,然后傳遞給APT安全威脅態(tài)勢(shì)評(píng)估模塊�����。這樣做的主要目的是為了防止APT安全威脅中重要數(shù)據(jù)會(huì)被篡改(以Stuxnet病毒為例)����。具體的,加解密算法如下:[0067](1)算法涉及三個(gè)參數(shù),11�����、61���、62�����。其中,η是兩個(gè)大質(zhì)數(shù)p����、q的積(p��、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù))�����,η的二進(jìn)制表示時(shí)所占用的位數(shù)��,就是所謂的密鑰長(zhǎng)度�。
[0068](2)el和e2是一對(duì)相關(guān)的值,el可以任意取,但要求el與(p_l)*(q_l)互質(zhì)���;再選擇 e2,要求(e2*el)mod((p_l) *(q_l)) =1��。
[0069](3) (n, el), (n, e2)就是密鑰對(duì)���。其中(n, el)為公鑰,(n, e2)為私鑰�。
[0070](4)設(shè)A為明文,B為密文���,則:A=B~e2 mod n ��;B=A~el mod n ;(公鑰加密體制中����,一般用公鑰加密,私鑰解密)
[0071](5) el 和 e2 可以互換使用��,即:A=B'e2 mod n ���;B=A'el mod n�。
[0072]步驟106:基于多層次��、多角度的態(tài)勢(shì)評(píng)估���,建立APT態(tài)勢(shì)評(píng)估框架���,并進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估。
[0073]本步驟中����,為了能盡量全面地對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估,建立多層次多角度的態(tài)勢(shì)評(píng)估框架����,分別從專題層次、要素層次和整體層次三個(gè)層次��,每個(gè)層次分別從不同的角度����,每個(gè)角度分別從不同的粒度對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估。
[0074]態(tài)勢(shì)評(píng)估中,采用改進(jìn)的粒子群算法(Particle Swarm Optimization, PS0)算法進(jìn)行APT的攻擊行為預(yù)測(cè)����。具體地,定義不同的影響權(quán)重函數(shù)���,對(duì)態(tài)勢(shì)理解的數(shù)據(jù)加密結(jié)果進(jìn)行輪循���,每次操作中用到的四個(gè)非線性函數(shù)(每輪一個(gè))如下:
[0075]F (X,Y, Z) = (X&Y)((?X) &Z)
[0076]G (X����,Y, Z) = (X&Z) I (Y& (?Z))
[0077]H(X,Y���,Z)=X~Y~Z
[0078]I(X�����,Y�����,Z)=Y~(X| (?Z))
[0079](&;是與�,I是或,?是非����,~是異或)
[0080]其中,X��、Y�����、Z是我們態(tài)勢(shì)理解模塊的加密數(shù)據(jù)對(duì)三元組�,分別表示信息安全的CIA三要素:保密性、完整性����、可用性。通過按位操作�����,進(jìn)行PSO優(yōu)化進(jìn)行的數(shù)據(jù)篩選和重組�。這四個(gè)函數(shù)的說明:如果x�����、Y和Z的對(duì)應(yīng)位是獨(dú)立和均勻的,那么結(jié)果的每一位也應(yīng)是獨(dú)立和均勻的��。F是一個(gè)逐位運(yùn)算的函數(shù)���。S卩�����,如果X�����,那么Y�����,否則Ζ�。函數(shù)H是逐位奇偶操作符�����。
[0081]此外,當(dāng)發(fā)現(xiàn)異常行為時(shí)���,跳出相應(yīng)的非線性函數(shù)��,進(jìn)入關(guān)聯(lián)分析模塊�����,把看似游離不相關(guān)的事情進(jìn)行聯(lián)動(dòng)����,從而得出更具體的態(tài)勢(shì)評(píng)估結(jié)果�。有關(guān)的關(guān)聯(lián)分析函數(shù)如下:
[0082]FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
[0083]GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
[0084]HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)
[0085]II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s)
[0086]其中a、b�����、c����、d分別是PSO數(shù)據(jù)篩選和重組后得到的加速量、個(gè)體知識(shí)�、鄰居知識(shí)、社會(huì)知識(shí)�。資產(chǎn)數(shù)據(jù)��、威脅數(shù)據(jù)��、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)是相應(yīng)部分的經(jīng)驗(yàn)累積����。其分別代表資產(chǎn)數(shù)據(jù)�、威脅數(shù)據(jù)����、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)。每一次循環(huán)結(jié)束�����,將資產(chǎn)數(shù)據(jù)�����、威脅數(shù)據(jù)����、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)分別加上a、b��、C、d進(jìn)行更新�。然后用下一分組數(shù)據(jù)繼續(xù)運(yùn)行算法,最后的輸出是資產(chǎn)數(shù)據(jù)�����、威脅數(shù)據(jù)��、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)的級(jí)聯(lián)����,從而完成APT事件的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估。其中���,Mj表示態(tài)勢(shì)感知數(shù)據(jù)的第j個(gè)子分組(從
O到15)�����,常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分����,i取值從I到64���,單位是弧度����。(4294967296等于2的32次方)。并且s表示函數(shù)操作過程中的位移量��,為系統(tǒng)的固定輸入���,根據(jù)實(shí)際情況調(diào)整����。FF(a, b, c, d, Mj, s, ti)�����、GG(a, b, c, d, Mj, s, ti)���、HH(a, b, c, d, Mj, s, ti)、II (a, b, c, d, Mj, s, ti)函數(shù)表示a的不同計(jì)算過程,并返回a的值�����。
[0087]步驟108:根據(jù)所述網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估��,對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行預(yù)測(cè)���。
[0088]本步驟中:通過對(duì)APT安全威脅態(tài)勢(shì)評(píng)估輸出的數(shù)據(jù)��,采用預(yù)測(cè)模型對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)���,主要可以基于人工神經(jīng)網(wǎng)絡(luò)��、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)�。人工神經(jīng)網(wǎng)絡(luò)和灰色理論都是黑盒預(yù)測(cè)方法�,掩蓋了原序列自身的屬性,預(yù)測(cè)結(jié)果不能體現(xiàn)原序列的隨機(jī)性和周期性等特性�,因此在預(yù)測(cè)時(shí)主要采用基于時(shí)間序列分析的預(yù)測(cè)技術(shù)。
[0089]優(yōu)選地��,本發(fā)明可以擬采取基于時(shí)間序列分析的方法���,時(shí)間序列分析利用態(tài)勢(shì)評(píng)估得到的結(jié)果�,通過曲線擬合和參數(shù)估計(jì)�,建立相應(yīng)的模型進(jìn)行預(yù)測(cè)。
[0090]同樣的����,根據(jù)態(tài)勢(shì)評(píng)估對(duì)象的不同,所采用的預(yù)測(cè)方法主要用在以下三個(gè)方面:
(I)專題層次(2)要素層次(3)整體層次���。
[0091]在實(shí)際使用時(shí)�,應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、預(yù)測(cè)對(duì)象和輸入的數(shù)據(jù)量的規(guī)模等因素��,選擇合適的預(yù)測(cè)算法���。對(duì)于每一種時(shí)間序列模型��,如果輸入的數(shù)據(jù)量越大��,建立的模型越準(zhǔn)確�,預(yù)測(cè)結(jié)果越準(zhǔn)確�,因此需要實(shí)時(shí)更新輸入數(shù)據(jù),及時(shí)對(duì)模型的參數(shù)進(jìn)行修正���。如果輸入數(shù)據(jù)量非常少,那么不適合用時(shí)間序列分析方法進(jìn)行建模���,可以采用歷史增量平均的方法進(jìn)行預(yù)測(cè)���。
[0092]步驟110:根據(jù)預(yù)測(cè),如果確定潛在威脅���,則進(jìn)行預(yù)警�。該預(yù)警可以以彈出對(duì)話框的形式預(yù)告,也可以將受到攻擊的主機(jī)標(biāo)識(shí)發(fā)送給管理設(shè)備��,并進(jìn)行相應(yīng)的預(yù)處理��。
[0093]圖2為本發(fā)明的APT威脅預(yù)測(cè)系統(tǒng)的示意圖��,其包括:采集設(shè)備�,用于對(duì)海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析;
[0094]APT安全威脅態(tài)勢(shì)感知設(shè)備����,用于根據(jù)關(guān)聯(lián)分析結(jié)果,建立APT安全威脅態(tài)勢(shì)感知的體系框架���;
[0095]APT安全威脅態(tài)勢(shì)評(píng)估設(shè)備����,用于根據(jù)多層次����、多角度的態(tài)勢(shì)評(píng)估,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估�����;
[0096]APT安全威脅態(tài)勢(shì)預(yù)測(cè)設(shè)備��,用于建立APT安全威脅發(fā)展模型���,對(duì)APT安全威脅進(jìn)行預(yù)測(cè)����;
[0097]APT安全威脅態(tài)勢(shì)預(yù)警設(shè)備�,用與根據(jù)預(yù)測(cè),如果確定潛在威脅�����,則進(jìn)行預(yù)警�。
[0098]具體地,APT安全威脅態(tài)勢(shì)評(píng)估設(shè)備用于:將海量異構(gòu)安全數(shù)據(jù)歸類為資產(chǎn)數(shù)據(jù)���、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)�;去除上述數(shù)據(jù)的重復(fù)冗余信息;將資產(chǎn)數(shù)據(jù)、威脅數(shù)據(jù)�����、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)相關(guān)聯(lián)����,綜合分析得到每個(gè)威脅的威脅傳播網(wǎng)絡(luò)。
[0099]具體地�,APT安全威脅態(tài)勢(shì)感知設(shè)備,對(duì)關(guān)聯(lián)分析結(jié)果�,用如下加密/解密算法進(jìn)行加密/解密:
[0100]A=B'e2 mod n ;B=A'el mod n
[0101]其中A為明文����,B為密文,η為二進(jìn)制表示密鑰長(zhǎng)度�,el和e2是一對(duì)相關(guān)的值,el可以任意取��,但要求el與(p-1) *(q_l)互質(zhì)����;再選擇e2,要求(e2*el) mod ((p-1) *(q_l))=1 ;P、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù)���。
[0102]具體地�����,其中對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括:采用粒子群PSO算法進(jìn)行評(píng)估�����。[0103]具體地��,其中PSO算法在迭代時(shí)��,依次循環(huán)使用如下非線性函數(shù)作為權(quán)重函數(shù):
[0104]F (X�,Y, Z) = (X&Y)((?X) &Z);
[0105]G(X���,Y����,Z) = (X&Z) I (Y& (?Z));
[0106]H(X, Y, Z)=X~Y~Z ����;
[0107]Ι(Χ,Υ�����,Ζ)=Υ~(Χ| (?Z));
[0108]其中���,X����、Y���、Z是態(tài)勢(shì)感知中的加密數(shù)據(jù)對(duì)三元組����,分別表示信息安全的CIA三要素:保密性�、完整性、可用性�。
[0109]其中,其中PSO算法當(dāng)發(fā)現(xiàn)異常行為時(shí)��,跳出非線性函數(shù)�����,執(zhí)行下列關(guān)聯(lián)函數(shù):
[0110]FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
[0111]GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
[0112]HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)
[0113]II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s)
[0114]其中a���、b��、c����、d分別是PSO算法數(shù)據(jù)篩選和重組后得到的加速量、個(gè)體知識(shí)�����、鄰居知識(shí)�����、社會(huì)知識(shí)���;Mj表示態(tài)勢(shì)感知數(shù)據(jù)的第j個(gè)子分組�,常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分����,i取值從I到64,單位是弧度���。并且s表示函數(shù)操作過程中的位移量�,為系統(tǒng)的固定輸入,根據(jù)實(shí)際情況調(diào)整����。FF(a, b, c, d, Mj, s���,ti)����、GG(a, b, c, d, Mj, s�����,ti)��、HH(a, b, c, d, Mj, s, ti)����、II (a, b, c, d, Mj, s, ti)函數(shù)表示a的不同計(jì)算過程,并返回a的值。
[0115]具體地�����,對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行預(yù)測(cè)至少包括:采用人工神經(jīng)網(wǎng)絡(luò)�����、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。
[0116]以APT安全威脅的預(yù)測(cè)方法為實(shí)例�,對(duì)本發(fā)明進(jìn)行詳細(xì)說明。其【具體實(shí)施方式】如下:
[0117]步驟一:給出APT安全威脅態(tài)勢(shì)感知的概念模型�����,分析APT安全威脅態(tài)態(tài)勢(shì)感知的過程和結(jié)果�。然后,在概念模型的基礎(chǔ)上����,結(jié)合數(shù)據(jù)融合和層次化分析的思想,建立APT安全威脅態(tài)勢(shì)感知體系框架�����。由于APT安全威脅態(tài)勢(shì)感知所依據(jù)數(shù)據(jù)來源的復(fù)雜性和異構(gòu)性����,為了保證態(tài)勢(shì)理解過程的實(shí)時(shí)性的要求,采用簡(jiǎn)單的數(shù)據(jù)級(jí)融合技術(shù)�。對(duì)大量原始安全數(shù)據(jù)進(jìn)行初步處理,得到規(guī)范化的資產(chǎn)數(shù)據(jù)集、威脅數(shù)據(jù)集��、脆弱性數(shù)據(jù)集和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)集��。在此基礎(chǔ)上���,分析資產(chǎn)�����、威脅和脆弱性之間的關(guān)系,對(duì)影響網(wǎng)絡(luò)安全性的安全事件進(jìn)行分析�,采用關(guān)聯(lián)分析方法得到規(guī)范化的安全事件數(shù)據(jù)集。此外�����,為了分析威脅傳播帶來的影響���,提出威脅傳播網(wǎng)絡(luò)的概念�����,綜合分析資產(chǎn)�、威脅��、脆弱性和網(wǎng)絡(luò)結(jié)構(gòu)信息,得到威脅數(shù)據(jù)集中每個(gè)威脅的威脅傳播網(wǎng)絡(luò)���。
[0118]為了將大規(guī)模的數(shù)據(jù)運(yùn)用到APT安全威脅態(tài)勢(shì)感知中�,必須對(duì)這些大量的異構(gòu)的安全數(shù)據(jù)進(jìn)行處理�。即,可以采用關(guān)聯(lián)分析技術(shù)對(duì)海量異構(gòu)安全數(shù)據(jù)進(jìn)行處理��,得到規(guī)范化的數(shù)據(jù)���,為態(tài)勢(shì)評(píng)估提供支持��。
[0119]而為了保證APT安全威脅態(tài)勢(shì)感知結(jié)果準(zhǔn)確而全面性���,應(yīng)最大限度的保證數(shù)據(jù)的完整性。因此需要對(duì)所有檢測(cè)設(shè)備得到的原始數(shù)據(jù)進(jìn)行分析�,處理的數(shù)據(jù)量大,如果采取較為復(fù)雜的關(guān)聯(lián)技術(shù)��,處理時(shí)間較長(zhǎng)��,系統(tǒng)的實(shí)時(shí)性較差����。為了滿足系統(tǒng)實(shí)時(shí)性的要求�����,本發(fā)明采用簡(jiǎn)單的數(shù)據(jù)級(jí)融合����,然后分析融合后數(shù)據(jù)的相關(guān)性����,以對(duì)大量的異構(gòu)的安全數(shù)據(jù)進(jìn)行處理,具體處理過程如下四步:
[0120](I)分析大量的異構(gòu)的安全數(shù)據(jù)�����,其中該原始安全數(shù)據(jù)可以是網(wǎng)絡(luò)安全數(shù)據(jù)���,也已是本地的系統(tǒng)安全數(shù)據(jù)。將安全數(shù)據(jù)歸類為資產(chǎn)數(shù)據(jù)����、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)�,不考慮數(shù)據(jù)類之間的關(guān)系;
[0121](2)去除重復(fù)冗余信息,合并同類信息�,修正錯(cuò)誤信息,得到規(guī)范化的資產(chǎn)數(shù)據(jù)集�����、威脅數(shù)據(jù)集�、脆弱性數(shù)據(jù)集和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)集;
[0122](3)將資產(chǎn)����、威脅和脆弱性相關(guān)聯(lián),綜合分析得到安全事件數(shù)據(jù)集��;
[0123](4)將資產(chǎn)��、威脅�、脆弱性和網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)聯(lián),綜合分析得到每個(gè)威脅的威脅傳播網(wǎng)絡(luò)����。
[0124]另外,APT安全威脅態(tài)勢(shì)感知在數(shù)據(jù)聚類模塊中要用到的加解密算法��。即對(duì)異構(gòu)安全數(shù)據(jù)進(jìn)行收集��、分析后,對(duì)與APT安全威脅態(tài)勢(shì)感知有關(guān)的重要數(shù)據(jù)進(jìn)行加密�����,然后傳遞給APT安全威脅態(tài)勢(shì)評(píng)估模塊��。這樣做的主要目的是為了防止APT安全威脅中重要數(shù)據(jù)會(huì)被篡改(以Stuxnet病毒為例)��。具體的�����,加解密算法如下:
[0125](I)算法涉及三個(gè)參數(shù)���,n����、el����、e2�����。其中,η是兩個(gè)大質(zhì)數(shù)P��、q的積(P��、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù))����,η的二進(jìn)制表示時(shí)所占用的位數(shù),就是所謂的密鑰長(zhǎng)度����。
[0126](2)el和e2是一對(duì)相關(guān)的值,el可以任意取,但要求el與(p_l)*(q_l)互質(zhì);再選擇 e2,要求(e2*el)mod((p_l) *(q_l)) =1��。
[0127](3) (n, el), (n, e2)就是密鑰對(duì)���。其中(n, el)為公鑰���,(n, e2)為私鑰。
[0128](4)設(shè)A為明文���,B為密文����,則:A=B~e2 mod n ;B=A~el mod n;(公鑰加密體制中��,一般用公鑰加密�,私鑰解密)
[0129](5) el 和 e2 可以互換使用,即:A=B'e2 mod n ���;B=A'el mod n��。
[0130]步驟二��、根據(jù)APT安全威脅態(tài)勢(shì)感知體系框架�����,建立APT安全威脅態(tài)勢(shì)評(píng)估框架�����。APT安全威脅態(tài)勢(shì)評(píng)估是對(duì)網(wǎng)絡(luò)安全狀況的定性定量描述����,是以態(tài)勢(shì)感知為基礎(chǔ)進(jìn)行的實(shí)時(shí)量化評(píng)估��,并給出相應(yīng)的加固方案�。以態(tài)勢(shì)評(píng)估的結(jié)果為基礎(chǔ)才能對(duì)APT安全威脅態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè),有預(yù)見性的指導(dǎo)管理員采取措施�����,預(yù)防大規(guī)模的安全事件的發(fā)生�����?���?梢詮亩鄬哟巍⒍嘟嵌冗M(jìn)行態(tài)勢(shì)評(píng)估�����,如下所示:
[0131]面對(duì)APT這樣的高級(jí)可持續(xù)威脅��,在其造成嚴(yán)重經(jīng)濟(jì)損失之前����,現(xiàn)有的安全架構(gòu)無法協(xié)助防御者及時(shí)地發(fā)現(xiàn)威脅的存在。若要進(jìn)行APT的惡意攻擊預(yù)測(cè)���,必須做好當(dāng)前的APT安全威脅態(tài)勢(shì)評(píng)估�。為了能盡量全面地對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估,建立多層次多角度的態(tài)勢(shì)評(píng)估框架�����,分別從專題層次��、要素層次和整體層次三個(gè)層次����,每個(gè)層次分別從不同的角度,每個(gè)角度分別從不同的粒度對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估��。只有這樣����,在深入剖析威脅的外延和內(nèi)涵的基礎(chǔ)上做了詳細(xì)可靠的態(tài)勢(shì)評(píng)估,才能對(duì)APT攻擊的進(jìn)行模型上的預(yù)測(cè)��。
[0132]對(duì)于每一層次的評(píng)估�,具體描述如下:
[0133](I)專題層次,是對(duì)影響網(wǎng)絡(luò)安全狀況各個(gè)具體因素的評(píng)估�����,分為資產(chǎn)評(píng)估、威脅評(píng)估����、脆弱性評(píng)估和安全事件評(píng)估四個(gè)角度��,每個(gè)角度根據(jù)評(píng)估的范圍分為三個(gè)粒度�����,以威脅評(píng)估為例��,包括對(duì)單個(gè)威脅的評(píng)估��、對(duì)某一類威脅的評(píng)估和整個(gè)網(wǎng)絡(luò)威脅狀況的評(píng)估�;
[0134](2)要素層次,是對(duì)網(wǎng)絡(luò)在安全要素的各個(gè)方面達(dá)成程度的評(píng)估�,描述網(wǎng)絡(luò)在安全要素各個(gè)方面的損失情況,分為保密性評(píng)估��、完整性評(píng)估�、可用性評(píng)估三個(gè)角度;
[0135](3)整體層次��,是對(duì)網(wǎng)絡(luò)的安全狀況的綜合評(píng)估�����。
[0136]對(duì)于每個(gè)層次,分別采用不同的評(píng)估方法�����。例如����,在對(duì)安全態(tài)勢(shì)的四個(gè)安全專題進(jìn)行評(píng)估時(shí),可采用統(tǒng)計(jì)分析的評(píng)估方法評(píng)估單個(gè)資產(chǎn)��、威脅�、脆弱性和安全事件的相關(guān)情況;在對(duì)安全態(tài)勢(shì)的三個(gè)安全要素進(jìn)行評(píng)估時(shí)�����,可采用基于隱Markov模型����、Markov博弈模型和基于指數(shù)對(duì)數(shù)分析的評(píng)估技術(shù),評(píng)估所有與態(tài)勢(shì)值相關(guān)的內(nèi)容�;在由單體安全態(tài)勢(shì)得到整體安全態(tài)勢(shì)時(shí),可采用基于指數(shù)對(duì)數(shù)分析的評(píng)估技術(shù)���,并且具體參數(shù)根據(jù)不同的目的和網(wǎng)絡(luò)環(huán)境進(jìn)行設(shè)置��。
[0137]態(tài)勢(shì)評(píng)估中����,采用改進(jìn)的PSO算法進(jìn)行APT的攻擊行為預(yù)測(cè)�。具體地,定義不同的影響權(quán)重函數(shù)�����,對(duì)態(tài)勢(shì)理解的數(shù)據(jù)加密結(jié)果進(jìn)行輪循�����,每次操作中用到的四個(gè)非線性函數(shù)(每輪一個(gè))如下:
[0138]F (X�����,Y, Z) = (X&Y)((?X) &Z)
[0139]G(X��,Y�����,Z) = (X&Z) I (Y& (?Z))
[0140]H(X,Y�����,Z)=X~Y~Z
[0141]I(X�,Y,Z)=Y~(X| (?Z))
[0142](&;是與�,I是或,?是非�����,~是異或)
[0143]其中���,X���、Y、Z是我們態(tài)勢(shì)理解模塊的加密數(shù)據(jù)對(duì)三元組�����,分別表示信息安全的CIA三要素:保密性���、完整性�、可用性。通過按位操作����,進(jìn)行PSO優(yōu)化進(jìn)行的數(shù)據(jù)篩選和重組。這四個(gè)函數(shù)的說明:如果x�����、Y和Z的對(duì)應(yīng)位是獨(dú)立和均勻的�,那么結(jié)果的每一位也應(yīng)是獨(dú)立和均勻的。F是一個(gè)逐位運(yùn)算的函數(shù)�。S卩���,如果X�,那么Y��,否則Ζ����。函數(shù)H是逐位奇偶操作符。
[0144]此外�����,我們還假設(shè)Mj表示態(tài)勢(shì)理解數(shù)據(jù)的第j個(gè)子分組(從O到15),常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分��,i取值從I到64��,單位是弧度�����。(4294967296等于2的32次方)��。當(dāng)發(fā)現(xiàn)異常行為時(shí)���,跳出相應(yīng)的非線性函數(shù)����,進(jìn)入關(guān)聯(lián)分析模塊�,把看似游離不相關(guān)的事情進(jìn)行聯(lián)動(dòng),從而得出更具體的態(tài)勢(shì)評(píng)估結(jié)果��。有關(guān)的關(guān)聯(lián)分析函數(shù)如下:
[0145]FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
[0146]GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
[0147]HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)
[0148]II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s)
[0149]其中a����、b、c���、d分別是PSO數(shù)據(jù)篩選和重組后得到的加速量�����、個(gè)體知識(shí)����、鄰居知識(shí)、社會(huì)知識(shí)�����。并且s表示函數(shù)操作過程中的位移量����,為系統(tǒng)的固定輸入���,根據(jù)實(shí)際情況調(diào)整���。FF(a, b, c, d, Mj, s, ti)> GG(a, b, c, d, Mj, s, ti)> HH(a, b, c, d, Mj, s, ti)>II (a, b, c, d, Mj, s, ti)函數(shù)表示a的不同計(jì)算過程,并返回a的值。
[0150]通過粒子群算法�����,利用權(quán)重函數(shù)以及關(guān)聯(lián)分析函數(shù)進(jìn)行迭代訓(xùn)練,每一次迭代結(jié)束�,將資產(chǎn)數(shù)據(jù)、威脅數(shù)據(jù)���、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)分別加上a�、b���、c��、d進(jìn)行更新���。然后用下一分組數(shù)據(jù)繼續(xù)運(yùn)行算法,最后的輸出是資產(chǎn)數(shù)據(jù)�、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)的級(jí)聯(lián)�����,從而完成APT事件的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估���。
[0151]其中����,在專題層次進(jìn)行網(wǎng)絡(luò)評(píng)估時(shí),可以從資產(chǎn)評(píng)估����、威脅評(píng)估、脆弱性評(píng)估和安全事件四個(gè)角度評(píng)估���。以下���,對(duì)資產(chǎn)的評(píng)估、威脅評(píng)估����、脆弱性評(píng)估和安全事件進(jìn)行詳細(xì)闡述。
[0152]資產(chǎn)評(píng)估在細(xì)粒度評(píng)估上�����,對(duì)資產(chǎn)數(shù)據(jù)集中的每個(gè)資產(chǎn)�,分別評(píng)估該資產(chǎn)的價(jià)值��、性能利用率���、遭受的威脅的數(shù)量���、存在的脆弱性的數(shù)量�、遭受的安全事件的數(shù)量���、安全態(tài)勢(shì)值���,用一個(gè)向量來描述評(píng)估結(jié)果。其中�����,資產(chǎn)的標(biāo)識(shí)�、名稱、類型���、價(jià)值和性能利用率可以直接從資產(chǎn)數(shù)據(jù)態(tài)勢(shì)評(píng)估技術(shù)集獲?��。毁Y產(chǎn)上威脅的數(shù)量是統(tǒng)計(jì)威脅數(shù)據(jù)集中與該資產(chǎn)標(biāo)識(shí)相同的記錄的個(gè)數(shù)��;資產(chǎn)上脆弱性的數(shù)量是統(tǒng)計(jì)脆弱性數(shù)據(jù)集中與該資產(chǎn)標(biāo)識(shí)相同的記錄的個(gè)數(shù)�;資產(chǎn)上安全事件的數(shù)量是統(tǒng)計(jì)安全事件數(shù)據(jù)集中與該資產(chǎn)標(biāo)識(shí)相同的記錄的個(gè)數(shù);資產(chǎn)的安全態(tài)勢(shì)值是一個(gè)向量結(jié)構(gòu),包括保密性態(tài)勢(shì)值萬完整性態(tài)勢(shì)值和可用性態(tài)勢(shì)值三個(gè)分量���,由資產(chǎn)上所有安全事件和管理員采取的安全措施得綜合分析得到����。
[0153]資產(chǎn)評(píng)估在粗粒度評(píng)估上����,包括對(duì)某一類資產(chǎn)的評(píng)估和網(wǎng)絡(luò)所有資產(chǎn)的評(píng)估。評(píng)估結(jié)果用公式表示����,標(biāo)識(shí)、名稱和類型字段分別用評(píng)估的范圍表示����;威脅、脆弱性和安全事件的數(shù)量為評(píng)估范圍內(nèi)所有資產(chǎn)上威脅���、脆弱性和安全事件的數(shù)量之和���;價(jià)值、性能利用率和安全態(tài)勢(shì)分量采用采用基于指對(duì)數(shù)分析的評(píng)估技術(shù)�����,綜合分析評(píng)估范圍內(nèi)所有資產(chǎn)的價(jià)值��、性能利用率和安全態(tài)勢(shì)分量����。
[0154]威脅評(píng)估在細(xì)粒度評(píng)估上,對(duì)威脅數(shù)據(jù)集中的每個(gè)威脅�,分別評(píng)估該威脅的在整個(gè)網(wǎng)絡(luò)中的數(shù)量、分布情況�����、安全態(tài)勢(shì)值和相關(guān)安全事件的數(shù)量�����,評(píng)估結(jié)果用一個(gè)向量來描述���。其中��,威脅的標(biāo)識(shí)�、名稱和類型可以從威脅數(shù)據(jù)集獲?。煌{的數(shù)量是統(tǒng)計(jì)威脅數(shù)據(jù)集中與該威脅標(biāo)識(shí)相同的記錄的個(gè)數(shù);威脅引起的安全事件的數(shù)量是統(tǒng)計(jì)安全事件數(shù)據(jù)集中與該威脅標(biāo)識(shí)相同的記錄的個(gè)數(shù)����;威脅的分布情況是衡量威脅在網(wǎng)絡(luò)中分布的范圍,分布的范圍越大�,危害相應(yīng)越高,首先統(tǒng)計(jì)威脅數(shù)據(jù)集中與該威脅標(biāo)識(shí)相同的記錄中資產(chǎn)的數(shù)量�,然后將相關(guān)資產(chǎn)的數(shù)量除以總資產(chǎn)的數(shù)量,最后將計(jì)算結(jié)果歸一化為五個(gè)等級(jí)���,等級(jí)越大表示該威脅的分布范圍越廣�;威脅的安全態(tài)勢(shì)值是一個(gè)向量結(jié)構(gòu)�����,包括保密性態(tài)勢(shì)值����、完整性態(tài)勢(shì)值和可用性態(tài)勢(shì)值三個(gè)分量,由威脅引起的安全事件���、管理員采取的安全措施和普通用戶的行為綜合分析得到�。威脅評(píng)估在粗粒度評(píng)估上��,包括對(duì)某一類威脅的評(píng)估和網(wǎng)絡(luò)所有威脅的評(píng)估。評(píng)估結(jié)果用公式表示�����,標(biāo)識(shí)�、名稱和類型字段分別用評(píng)估的范圍表示��;威脅和相關(guān)安全事件的數(shù)量為評(píng)估范圍內(nèi)所有威脅和相關(guān)安全事件的數(shù)量之和����;威脅的分布情況和安全態(tài)勢(shì)分量采用采用基于指對(duì)數(shù)分析的評(píng)估技術(shù),綜合分析評(píng)估范圍內(nèi)所有威脅的分布情況和安全態(tài)勢(shì)分量��。
[0155]脆弱性評(píng)估在細(xì)粒度評(píng)估上�����,對(duì)脆弱性數(shù)據(jù)集中的每個(gè)脆弱性��,分別評(píng)估該脆弱性數(shù)量���、分布情況���、安全態(tài)勢(shì)值和相關(guān)安全事件的數(shù)量���,用一個(gè)向量來描述。其中��,脆弱性的標(biāo)識(shí)����、名稱、類型和影響可以直接從脆弱性數(shù)據(jù)集獲取�����,脆弱性的數(shù)量是統(tǒng)計(jì)脆弱性數(shù)據(jù)集中與該脆弱性標(biāo)識(shí)相同的記錄的個(gè)數(shù)�����;脆弱性引起的安全事件的數(shù)量是統(tǒng)計(jì)安全事件數(shù)據(jù)集中與該脆弱性標(biāo)識(shí)相同的記錄的個(gè)數(shù)����;脆弱性的分布情況是衡量脆弱性在網(wǎng)絡(luò)中分布的范圍,分布的范圍越大����,危害相應(yīng)越高,計(jì)算過程與威脅類似���;脆弱性的安全態(tài)勢(shì)值是脆弱性相關(guān)的安全事件的態(tài)勢(shì)值�����,是一個(gè)向量結(jié)構(gòu)����,包括保密性態(tài)勢(shì)值�、完整性態(tài)勢(shì)值和可用性態(tài)勢(shì)值三個(gè)分量,由與該脆弱性相關(guān)的安全事件的態(tài)勢(shì)值表征��。脆弱性評(píng)估在粗粒度評(píng)估上�,包括對(duì)某一類脆弱性的評(píng)估和網(wǎng)絡(luò)所有脆弱性的評(píng)估。評(píng)估結(jié)果用公式表示�,標(biāo)識(shí)、名稱和類型字段分別用評(píng)估的范圍表示���;脆弱性和相關(guān)安全事件的數(shù)量為評(píng)估范圍內(nèi)所有脆弱性和相關(guān)安全事件的數(shù)量之和��;脆弱性的影響���、分布情況和安全態(tài)勢(shì)分量采用采用基于指對(duì)數(shù)分析的評(píng)估技術(shù),綜合分析評(píng)估范圍內(nèi)所有脆弱性的影響���、分布情況和安全態(tài)勢(shì)分量�����。
[0156]安全事件的評(píng)估只有細(xì)粒度評(píng)估���,對(duì)安全事件集中每個(gè)安全事件��,分別評(píng)估該安全事件的數(shù)量��、分布范圍和安全態(tài)勢(shì)值���,用一個(gè)向量來表示。其中��,安全事件相關(guān)威脅和脆弱性的標(biāo)識(shí)可以直接從安全事件數(shù)據(jù)集獲取����,這兩個(gè)標(biāo)識(shí)可以唯一確定一個(gè)安全事件;安全事件的名稱根據(jù)相關(guān)威脅和脆弱性的名稱得到����,方便顯示給用戶和生成態(tài)勢(shì)評(píng)估報(bào)表;安全事件的數(shù)量是統(tǒng)計(jì)安全事件數(shù)據(jù)集中與安全事件相關(guān)威脅和脆弱性標(biāo)識(shí)都相同的記錄的個(gè)數(shù);安全事件的態(tài)勢(shì)值的包括保密性�����、完整性和可用性三個(gè)態(tài)勢(shì)值分量��,是該安全事件在所有資產(chǎn)上造成的損害的綜合��。
[0157]步驟三�����、通過對(duì)APT安全威脅態(tài)勢(shì)評(píng)估輸出的數(shù)據(jù)����,采用預(yù)測(cè)模型對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)��,主要可以基于人工神經(jīng)網(wǎng)絡(luò)��、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)�。人工神經(jīng)網(wǎng)絡(luò)和灰色理論都是黑盒預(yù)測(cè)方法,掩蓋了原序列自身的屬性�,預(yù)測(cè)結(jié)果不能體現(xiàn)原序列的隨機(jī)性和周期性等特性,因此在預(yù)測(cè)時(shí)主要采用基于時(shí)間序列分析的預(yù)測(cè)技術(shù)����。
[0158]網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢(shì)彼此相關(guān)��,安全態(tài)勢(shì)的變化有一定的內(nèi)部規(guī)律�,這種規(guī)律可以預(yù)測(cè)網(wǎng)絡(luò)在將來時(shí)刻的安全態(tài)勢(shì)�����,從而可以有預(yù)見性地指導(dǎo)管理員進(jìn)行安全策略的配置���,實(shí)現(xiàn)動(dòng)態(tài)的安全管理�����,預(yù)防大規(guī)模安全事件的發(fā)生����。本發(fā)明擬采取基于時(shí)間序列分析的方法��,時(shí)間序列分析利用態(tài)勢(shì)評(píng)估得到的結(jié)果����,通過曲線擬合和參數(shù)估計(jì),建立相應(yīng)的模型進(jìn)行預(yù)測(cè)���。
[0159]同樣的��,根據(jù)態(tài)勢(shì)評(píng)估對(duì)象的不同�,所采用的預(yù)測(cè)方法主要用在以下三個(gè)方面:
[0160](I)專題層次:對(duì)資產(chǎn)、威脅�、脆弱性和安全事件數(shù)量變化趨勢(shì)進(jìn)行預(yù)測(cè);
[0161](2)要素層次:對(duì)整個(gè)網(wǎng)絡(luò)保密性��、完整性和可用性態(tài)勢(shì)分量的變化趨勢(shì)進(jìn)行預(yù)測(cè)���;
[0162](3)整體層次:對(duì)整個(gè)APT安全威脅態(tài)勢(shì)的變化趨勢(shì)進(jìn)行預(yù)測(cè)�。
[0163]基于時(shí)間序列分析的預(yù)測(cè)技術(shù)能很好的刻畫序列的前后依賴關(guān)系�����,適合對(duì)APT安全威脅態(tài)勢(shì)變化趨勢(shì)的預(yù)測(cè)�。在具體使用時(shí)��,首先對(duì)原序列進(jìn)行周期差分和趨勢(shì)差分����,將非平穩(wěn)時(shí)間序列轉(zhuǎn)化為平穩(wěn)時(shí)間序列,然后再分析新序列的自相關(guān)函數(shù)和偏相關(guān)函數(shù)的性質(zhì)����,建立新序列的自回歸滑動(dòng)平均模型�����,最后采用擬合的模型進(jìn)行不同提前期的預(yù)測(cè)和誤差分析�。該模型的建立過程是一個(gè)不斷嘗試的過程��,建模過程復(fù)雜�����,需要的原始數(shù)據(jù)量大���,不適合數(shù)據(jù)量較小的時(shí)間序列分析�����。另一種方法是直接將序列之間的相關(guān)性分解為周期變化項(xiàng)��、趨勢(shì)變化項(xiàng)和隨機(jī)成分項(xiàng)���,分別進(jìn)行分析,建模過程簡(jiǎn)單����,預(yù)測(cè)結(jié)果均方誤差最小�����,適合用在對(duì)周期性明顯的時(shí)間序列的分析�,如果周期性不明顯��,并且周期性和趨勢(shì)變化非常復(fù)雜時(shí)�����;采用該模型預(yù)測(cè)誤差會(huì)很大�����,該模型同樣需要很大的原始數(shù)據(jù)量����。
[0164]步驟四、根據(jù)預(yù)測(cè)�,如果確定潛在威脅��,則進(jìn)行預(yù)警��。
[0165]在實(shí)際使用時(shí),應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模�����、預(yù)測(cè)對(duì)象和輸入的數(shù)據(jù)量的規(guī)模等因素����,選擇合適的預(yù)測(cè)算法。對(duì)于每一種時(shí)間序列模型�,如果輸入的數(shù)據(jù)量越大,建立的模型越準(zhǔn)確�,預(yù)測(cè)結(jié)果越準(zhǔn)確,因此需要實(shí)時(shí)更新輸入數(shù)據(jù)�����,及時(shí)對(duì)模型的參數(shù)進(jìn)行修正���。如果輸入數(shù)據(jù)量非常少���,那么不適合用時(shí)間序列分析方法進(jìn)行建模,可以采用本發(fā)明給出的歷史增量平均的方法進(jìn)行預(yù)測(cè)����。
[0166]如果預(yù)測(cè)到APT攻擊�,則報(bào)告被攻擊的主機(jī)標(biāo)識(shí)�,以及給出威脅類型。
[0167]本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,上述的本發(fā)明實(shí)施例所提供的裝置的各組成部分�,以及方法中的各步驟,它們可以集中在單個(gè)的計(jì)算裝置上��,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上���?��?蛇x地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)�����。從而�����,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行��,或者將它們分別制作成各個(gè)集成電路模塊���,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)��。這樣�,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合��。
[0168]雖然本發(fā)明所揭露的實(shí)施方式如上���,但該的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式��,并非用以限定本發(fā)明��。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員�,在不脫離本發(fā)明所揭露的精神和范圍的前提下��,可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化���,但本發(fā)明的專利保護(hù)范圍����,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)���。
【權(quán)利要求】
1.一種APT安全威脅預(yù)測(cè)方法����,其特征在于,包括: 采集海量異構(gòu)安全數(shù)據(jù)����,并對(duì)所述海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析; 根據(jù)所述關(guān)聯(lián)分析結(jié)果�,建立APT安全威脅態(tài)勢(shì)感知的體系框架; 基于多層次���、多角度的態(tài)勢(shì)評(píng)估��,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架�,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估��; 建立APT安全威脅發(fā)展模型���,對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行預(yù)測(cè)����; 根據(jù)所述預(yù)測(cè),如果確定潛在威脅���,則進(jìn)行預(yù)警��。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,其中對(duì)所述APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括: 將海量異構(gòu)安全數(shù)據(jù)歸類為資產(chǎn)數(shù)據(jù)、威脅數(shù)據(jù)�����、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)��; 去除上述數(shù)據(jù)的重復(fù)冗余信息��; 將資產(chǎn)數(shù)據(jù)���、威脅數(shù)據(jù)���、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)相關(guān)聯(lián),綜合分析得到每個(gè)威脅的威脅傳播網(wǎng)絡(luò)���。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,建立APT安全威脅態(tài)勢(shì)感知的體系框架時(shí)����,對(duì)所述關(guān)聯(lián)分析結(jié)果,用如下加密/解密算法進(jìn)行加密/解密:
A=B"e2 mod n ���;B=A"el mod n 其中A為明文���,B為密文,η為二進(jìn)制表示密鑰長(zhǎng)度�����,el和e2是一對(duì)相關(guān)的值�,el可以任意取,但要求 el 與(p-1) *(q_l)互質(zhì)��;再選擇 e2,要求(e2*el) mod((p_l) *(q_l)) =1 ���;P�、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù)�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,其中對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括:采用粒子群PSO算法進(jìn)行評(píng)估�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于��,其中所述PSO算法在迭代時(shí)����,依次循環(huán)使用如下非線性函數(shù)作為權(quán)重函數(shù):
F(X,Y�����,Z) = (X&Y) I ((~x)&z)���;
G(X, Y, Z) = (X&Z) I (Y&(~Z));
Η(Χ, Y, Ζ) =Χ~Υ~Ζ ;
Ι(Χ����,Υ,Ζ)=Υ~(Χ| (~Z))�; 其中,X�����、Y、Z是態(tài)勢(shì)感知中的加密數(shù)據(jù)對(duì)三元組�����,分別表示信息安全的CIA三要素:保密性����、完整性、可用性���。
6.根據(jù)權(quán)利要求5所述的方法�,其特征在于��,其中所述PSO算法當(dāng)發(fā)現(xiàn)異常行為時(shí)�����,跳出所述非線性函數(shù)��,執(zhí)行下列關(guān)聯(lián)函數(shù):
FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)
II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s) 其中a�����、b�����、c、d分別是所述PSO算法數(shù)據(jù)篩選和重組后得到的加速量����、個(gè)體知識(shí)、鄰居知識(shí)���、社會(huì)知識(shí)�����;Mj表示態(tài)勢(shì)感知數(shù)據(jù)的第j個(gè)子分組���,常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分��,i取值從I到64���,單位是弧度;s表示函數(shù)操作過程中的位移量�����,為系統(tǒng)的固定輸 Λ ����;FF (a, b, c, d, Mj, s, ti)> GG (a, b, c, d, Mj, s, ti)> HH(a, b, c, d, Mj, s, ti)>II(a, b, c, d, Mj, s, ti)函數(shù)表示a的不同計(jì)算過程,并返回a的值。
7.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行預(yù)測(cè)至少包括:采用人工神經(jīng)網(wǎng)絡(luò)��、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)���。
8.—種APT安全威脅預(yù)測(cè)系統(tǒng)��,其特征在于����,包括: 采集設(shè)備�,用于對(duì)海量異構(gòu)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析; APT安全威脅態(tài)勢(shì)感知設(shè)備���,用于根據(jù)所述關(guān)聯(lián)分析結(jié)果���,建立APT安全威脅態(tài)勢(shì)感知的體系框架����; APT安全威脅態(tài)勢(shì)評(píng)估設(shè)備��,用于根據(jù)多層次�����、多角度的態(tài)勢(shì)評(píng)估���,建立APT安全威脅態(tài)勢(shì)評(píng)估的體系框架���,并對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估; APT安全威脅態(tài)勢(shì)預(yù)測(cè)設(shè)備���,用于建立APT安全威脅發(fā)展模型��,對(duì)APT安全威脅進(jìn)行預(yù)測(cè); APT安全威脅態(tài)勢(shì)預(yù)警設(shè)備���,用于根據(jù)所述預(yù)測(cè)��,發(fā)出預(yù)警����。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于�����,其中APT安全威脅態(tài)勢(shì)評(píng)估設(shè)備用于: 將海量異構(gòu)安全數(shù)據(jù) 歸類為資產(chǎn)數(shù)據(jù)�、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)����; 去除上述數(shù)據(jù)的重復(fù)冗 余信息; 將資產(chǎn)數(shù)據(jù)���、威脅數(shù)據(jù)���、脆弱性數(shù)據(jù)和網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)相關(guān)聯(lián),綜合分析得到每個(gè)威脅的威脅傳播網(wǎng)絡(luò)����。
10.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于����,所述APT安全威脅態(tài)勢(shì)感知設(shè)備�,對(duì)所述關(guān)聯(lián)分析結(jié)果�����,用如下加密/解密算法進(jìn)行加密/解密:
A=B"e2 mod n �;B=A"el mod n 其中A為明文,B為密文�,η為二進(jìn)制表示密鑰長(zhǎng)度,el和e2是一對(duì)相關(guān)的值�,el可以任意取,但要求 el 與(p-1) *(q_l)互質(zhì)�;再選擇 e2,要求(e2*el) mod((p_l) *(q_l)) =1 ;P���、q取值為超過具體環(huán)境閾值的任意的大質(zhì)數(shù)�。
11.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于�����,其中對(duì)APT安全威脅態(tài)勢(shì)進(jìn)行評(píng)估至少包括:采用粒子群PSO算法進(jìn)行評(píng)估���。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其特征在于,其中所述PSO算法在迭代時(shí)����,依次循環(huán)使用如下非線性函數(shù)作為權(quán)重函數(shù):
F(X,Y���,Z) = (X&Y) I ((~x)&z)�����;
G(X, Y, Z) = (X&Z) I (Y&(~Z));
Η(Χ, Y, Ζ) =Χ~Υ~Ζ ����;
Ι(Χ���,Υ�,Ζ)=Υ~(Χ| (~Z))�����; 其中,X�����、Y�����、Z是態(tài)勢(shì)感知中的加密數(shù)據(jù)對(duì)三元組����,分別表示信息安全的CIA三要素:保密性、完整性���、可用性�。
13.根據(jù)權(quán)利要求11所述的系統(tǒng)�����,其特征在于����,其中所述PSO算法當(dāng)發(fā)現(xiàn)異常行為時(shí),跳出所述非線性函數(shù)���,執(zhí)行下列關(guān)聯(lián)函數(shù):
FF (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+F (b, c, d) +Mj+ti) <<s)
GG (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+G (b, c, d) +Mj+ti) <<s)
HH (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+H (b, c, d) +Mj+ti) <<s)II (a, b, c, d, Mj, s, ti )表不 a=b+ ((a+1 (b, c, d) +Mj+ti) <<s) 其中a�����、b�����、c�����、d分別是所述PSO算法數(shù)據(jù)篩選和重組后得到的加速量�、個(gè)體知識(shí)��、鄰居知識(shí)�����、社會(huì)知識(shí)����;Mj表示態(tài)勢(shì)感知數(shù)據(jù)的第j個(gè)子分組,常數(shù)ti是4294967296*abs(sin(i))的整數(shù)部分�����,i取值從I到64,單位是弧度;s表示函數(shù)操作過程中的位移量�����,為系統(tǒng)的固定輸 Λ ���;FF (a, b, c, d, Mj, s, ti)> GG (a, b, c, d, Mj, s, ti)> HH(a, b, c, d, Mj, s, ti)>II (a, b, c, d, Mj, s, ti)函數(shù)表示a的不同計(jì)算過程,并返回a的值����。
14.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于���,所述對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行預(yù)測(cè)至少包括:采用人工神經(jīng)網(wǎng)絡(luò)����、灰色理論和時(shí)間序列分析的預(yù)測(cè)技術(shù)對(duì)安全態(tài)勢(shì)的發(fā)展趨勢(shì)進(jìn)行預(yù) 測(cè)���。
【文檔編號(hào)】H04L29/06GK103607388SQ201310577025
【公開日】2014年2月26日 申請(qǐng)日期:2013年11月18日 優(yōu)先權(quán)日:2013年11月18日
【發(fā)明者】叢戎, 何志平, 劉璧怡, 周恒釗 申請(qǐng)人:浪潮(北京)電子信息產(chǎn)業(yè)有限公司